网络与信息的安全不仅关系到正常工作的开展,还将影响到国家的安全、社会的稳定。河北彤心聚励网络科技有限公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。
一、网站运行安全保障措施
1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意程序攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。
5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。
10、业务网内的计算机设备不得使用软盘、CDROM、MODEM、红外通信设备、无线通信设备、USB移动存储设备和串/并口设备(用于连接打印机设备的并口除外)。业务网与办公网间的业务数据交换须通过专用FTP服务器完成,严禁向FTP服务器上传非业务数据文件。
二、计算机病毒防范管理
1、计算机病毒是隐藏在计算机系统软件和数据资源中,利用系统的软件程序和数据资源进行繁殖并生存,它影响计算机系统的正常运行,并通过系统软件程序和数据共享的途径进行传染,属于攻击性程序。当前的计算机病毒呈现出了集病毒、网络蠕虫和黑客程序为一体的特征,对网络和计算机具有极大的破坏性。
2、对计算机病毒的防范应以事前预防为主,事后处理为辅。
3、.公司计算机病毒防范工作由综合管理部负责统一协调,各部门负责组织实施。
4、计算机病毒防范工作应指定专人负责,并要求其掌握常见计算机病毒的原理、防范处理知识和必要的技术手段,了解当前计算机病毒的流行发病趋势和有效对策。
5、预防计算机病毒选用的软、硬件产品必须是经过国家公安部认证、批准的产品。接入公司业务网的电脑,在不影响业务系统正常运行的情况下,需安装和运行公司统一购置的防病毒软件,接入公司办公网的电脑,接入前必须安装和运行公司统一购置的防病毒软件。
6、对防病毒软件及病毒库必须及时升级、更新。
三、互联网上计算机系统的恶意攻击防范措施
1、对互联网上计算机系统的恶意攻击的对象是计算机资源和服务,其目的是盗取、破坏计算机资源信息,阻止、威胁计算机的正常运行及服务。
2、应对计算机系统的用户账号采用严格的分级管理策略,对重要口令定期更换。
3、应指定专人定期或必要时对计算机系统的软件做安全升级。
4、架设抗DOS攻击设备、防火墙和入侵检测联动系统,防止DOS攻击和非法访问及入侵。
5、在计算机系统内部实施安全审计功能,实时跟踪和记录对各服务器和交换设备及系统内部的访问行为,对可能发生的非法访问做及时反应。
6、对重要交易数据库采用加密保护措施,使计算机运行权与信息访问权分开,使攻击者无法访问重要数据。
7、安装防病毒产品并定期更新软件和病毒库,有效抑制病毒。
四、信息系统应急处理流程
1、建立应急处理流程的目的是防范技术事故的发生,减少可能的损失。技术事故是指由于硬件故障、软件故障和操作失误等原因引起系统无法运行,经启用备用系统仍未恢复正常,导致交易中断并造成经济损失的事件。
2、技术事故的防范原则是:预防为主、及时处理,力争把损失降低到最小程度。
3、对于重要设备的备份系统的操作,和重要软件信息系统的操作,应制定应急处理流程。
4、应急处理流程应张贴于明显处,定期演练,并有至少两人能熟练掌握操作流程。
5、.当发生故障需应急处理时,应在第一时间内向综合管理部和相关部门报告,并按应急处理流程在综合管理部的指导下处理。
6、故障处理完毕后,应查明原因并及时整改,并将事故原因和处理情况报公司有关部门。
五、信息安全保密管理制度
1、建立健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照个人负责原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。按照国家有关规定,网站将保存3月内系统运行日志和用户使用日志记录。
5、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。
六、用户信息安全管理制度
1、尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。
2、严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
定期对相关人员进行网络信息安全培训并进行考核,使相关人员能够充分认识到网络安全的重要性,严格遵守相应规章制度。
河北彤心聚励网络科技有限公司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定至少两名安全负责人作为突发事件处理的联系人。